Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Exemplo: Configurar um filtro para bloquear o acesso TCP a uma porta, exceto de peers BGP especificados

Este exemplo mostra como configurar um filtro de firewall stateless padrão que bloqueia todas as tentativas de conexão TCP de portar 179 de todos os solicitantes, exceto de pares BGP especificados.

Requisitos

Nenhuma configuração especial além da inicialização do dispositivo é necessária antes de configurar este exemplo.

Visão geral

Neste exemplo, você cria um filtro de firewall stateless que bloqueia todas as tentativas de conexão TCP de portar 179 de todos os solicitantes, exceto os pares BGP especificados.

O filtro filter_bgp179 de firewall stateless corresponde a todos os pacotes, desde as interfaces diretamente conectadas no Dispositivo A e dispositivo B até a porta de destino número 179.

Topologia

Figura 1 mostra a topologia usada neste exemplo. O dispositivo C tenta fazer uma conexão TCP com o dispositivo E. Dispositivo E bloqueia a tentativa de conexão. Este exemplo mostra a configuração no Dispositivo E.

Figura 1: Rede típica com sessões BGP PeerRede típica com sessões BGP Peer

Configuração

Configuração rápida de CLI

Para configurar este exemplo rapidamente, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com sua configuração de rede e, em seguida, copie e cole os comandos no CLI no nível de [edit] hierarquia.

Dispositivo C

Dispositivo E

Configuração do dispositivo E

Procedimento passo a passo

O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter informações sobre como navegar pela CLI, consulte o uso do Editor de CLI no modo de configuração no Guia de usuário do Junos OS CLI.

Para configurar o Dispositivo E com um filtro de firewall stateless que bloqueia todas as tentativas de conexão TCP de portar 179 de todos os solicitantes, exceto os pares BGP especificados:

  1. Configure as interfaces.

  2. Configure BGP.

  3. Configure o número do sistema autônomo.

  4. Defina o termo filtro que aceita tentativas de conexão TCP para portar 179 dos pares BGP especificados.

  5. Defina o outro termo de filtro para rejeitar pacotes de outras fontes.

  6. Aplique o filtro de firewall na interface de loopback.

Resultados

A partir do modo de configuração, confirme sua configuração entrando noshow firewall, show interfacesshow protocolse show routing-options comandos. Se a saída não exibir a configuração pretendida, repita as instruções neste exemplo para corrigir a configuração.

Se terminar de configurar o dispositivo, entre no commit modo de configuração.

Verificação

Confirme se a configuração está funcionando corretamente.

Verificando se o filtro está configurado

Propósito

Certifique-se de que o filtro está listado na saída do show firewall filter comando.

Ação

Verificando as conexões TCP

Propósito

Verifique as conexões TCP.

Ação

A partir do modo operacional, execute o show system connections extensive comando no dispositivo C e no dispositivo E.

A saída do dispositivo C mostra a tentativa de estabelecer uma conexão TCP. A saída no dispositivo E mostra que as conexões estão estabelecidas apenas com o dispositivo A e o dispositivo B.

Monitoramento do tráfego nas interfaces

Propósito

Use o monitor traffic comando para comparar o tráfego em uma interface que estabelece uma conexão TCP com o tráfego em uma interface que não estabelece uma conexão TCP.

Ação

Desde o modo operacional, execute o monitor traffic comando na interface do dispositivo E até o dispositivo B e na interface do dispositivo E até o dispositivo C. A saída de amostra a seguir verifica se, no primeiro exemplo, são recebidas mensagens de reconhecimento (ack). No segundo exemplo, ack as mensagens não são recebidas.